Broj korisnika napadnutih malverom koji krade pristupne podatke sa raznih informacionih sistema/sajtova/servisa više je nego udvostručen u periodu od godinu dana. Ovaj broj se povećao na više od 850.000 napada u 2018. godini. Porast krađe krendencijala praćen je i većom ponudom ukradenih kredencijala na tržištima dark veba, kao i povećanjem broja porodica malvera koje su pokretale ove napade. Ovi nalazi objavljeni su u izvještaju kompanije Kaspersky Lab o prijetnjama za korisnike sajtova u 2018. godini.
Bilo da vam je neki virus, spajver, malver i sl. napao sistem ili ne, prije ili kasnije ćete biti u situaciji da vaš LEGACY informacioni sistem zamjenite sa potpuno novim sistemom, samo u ovom prvom slučaju ćete vjerovatno morati to uraditi mnogo ranije.
U dosta slučajeva migracija korisničkih kredencijala (username i password) nije u cjelosti moguća, jer se koriste složeni kriptografski algoritmi ili postoje neki drugi tehnički problemi u migraciji korisnika.
Ovo predstavlja problem za krajnje korisnike jer sada osim što će imati novo vizuelno okruženje sa funkcionalnostima na mjestima koja nisu navikli, mogli bi da imaju poteškoće prilikom logovanja na nalog.
Rješenje broj 1
Ili su baze sa korisnicima kompatibilne ili presipamo iz stare u novu. Ako moramo generisati nove lozinke, distribuiramo ih alatom keepersecurity. Koristi se kao key vault. Cloud (managed) key vault sa end to end enkripcijom. Tu je moguće čuvati sve lozinke i connection stringove i međusobno distribuirati (ili u okviru kompanije ili sa krajnjim korisnicima).
Kada distribuiramo sa nekim ko nema korisnički nalog, on će dobiti email na osnovu kojeg će kreirati nalog. Kad se uloguje moći će pristupiti tom unosu (ako ne prođe kroz formalnu proceduru registracije - dostavi zahtjev za elektronsko bankarstvo na šalter ili sl. imaće neki period pristup praznom portalu, ako ne, nalog se briše nakon definisanog vremena).
Scenario koji bi kod većine radio je povlačenje korisničkih imena i e-mail adresa klijenata iz trenutne baze. Isti se iskoriste da bi se generisali novi kredencijali na portalu. Sve to se upiše u privremenu bazu (uključujući i lozinke) iz koje se API-jem kreiraju zapisi za svakog od njih i distribuiraju se putem registrovanog korisničkog email-a.
Moguće je importovati baze unkeeper iz nekoliko opštih formata, otvoren API + keeper commander konzolni alat na čemu se i zasniva ova automatizacija. Alat za ovo je na adresi www.keepersecurity.com/vault
Rješenje broj 2
Nakon migriracije korisnika, čak iako je algoritam drugačiji, provjeri se lozinka prvo sa novim algoritmom, pa ako ne prođe, sa starim (ako je siguran, naravno, tj. ako nema ništa pokvareno u njemu).
E sad ako je potreban potpun prelazak na novi algoritam, moguće je uraditi sljedeće: ovo gore što je napisano + ako uspije se logovati sa starim kredencijalima - postavite u bazu umjesto tog starog hash-a, hash od tvog novog algoritma.
Ovo rješenje je poprilično jednostavno i korisnici ne moraju brinuti ni o čemu. Samo ih obavjestiš da su im kredencijali isti kao prije.
Ovo je sličan scenario koji koristi i Google kada natjera korisnike da pređu na novi Google interfejs, plus ponude neki prelazni period u kom korisnik može da to dobrovoljno odradi, nakon toga ga silom prebace.
Zato svako ko razmišlja unaprijed o ovome, treba da ima u vidu moguće scenarije za migraciju korisnika. Siguran sam da postoje i drugi načini pa ako ih znate onda komentarišite...
Ako vam se ovaj članak dopao, lajkujte FB stranicu DM Spot i budite obavješteni kad novi članak bude objavljen.
